PRAVILNIKO USPOSTAVLJANJU SISTEMA BEZBEDNOSNIH GARANCIJA ZA RAČUNARSKE PROGRAME PRUŽALACA USLUGA U VAZDUŠNOM SAOBRAĆAJU("Sl. glasnik RS", br. 2/2011 i 54/2012) |
Ovim pravilnikom uređuju se zahtevi za uspostavljanje sistema bezbednosnih garancija za računarske programe koji treba da uspostave i primenjuju pružaoci usluga u vazdušnom saobraćaju, subjekti koji upravljaju protokom vazdušnog saobraćaja i vazdušnim prostorom za opšti vazdušni saobraćaj i pružaoci usluga komunikacije, navigacije i nadzora.
Preuzimanje uredbe Evropske unije
Ovim pravilnikom se, uz prilagođavanje pravu Republike Srbije, preuzima Uredba Komisije (EZ) br. 482/2008 od 30. maja 2008. godine kojom se uspostavlja sistem bezbednosnih garancija za računarske programe koji moraju da uvedu pružaoci usluga u vazdušnom saobraćaju i kojom se menja i dopunjava Aneks II Uredbe (EZ) br. 2096/2005, izmenjena i dopunjena Sprovedbenom uredbom Komisije (EU) br. 1035/2011 od 17. oktobra 2011. godine kojom se utvrđuju zajednički zahtevi za pružanje usluga u vazdušnoj plovidbi i kojom se menja i dopunjava Uredba (EZ) br. 482/2008 i Uredba (EU) br. 691/2010.
Uredba br. 482/2008 data je u Prilogu ovog pravilnika.
Značenje pojedinih pojmova u ovom pravilniku
Pojedini izrazi koji se koriste u ovom pravilniku imaju sledeće značenje:
1) "ECAA sporazum" označava Multilateralni sporazum između Evropske zajednice i njenih država članica, Republike Albanije, Bosne i Hercegovine, Republike Bugarske, Republike Hrvatske, Bivše Jugoslovenske Republike Makedonije, Republike Island, Republike Crne Gore, Kraljevine Norveške, Rumunije, Republike Srbije i Misije privremene uprave Ujedinjenih nacija na Kosovu (u skladu sa Rezolucijom Saveta bezbednosti UN 1244 od 10. juna 1999) o uspostavljanju Zajedničkog evropskog vazduhoplovnog područja.
2) Pojam "Evrokontrol" koji se koristi u prilogu ovog pravilnika označava Evropsku organizaciju za bezbednost vazdušne plovidbe, koja je osnovana Međunarodnom konvencijom o saradnji u oblasti bezbednosti vazdušne plovidbe Evrokontrol, od 13. decembra 1960. godine.
3) Pojam "propisi Zajednice" koji se koristi u Prilogu ovog pravilnika tumači se saglasno tačkama 2. i 3. Aneksa II ECAA sporazuma i odgovarajućim odredbama Lisabonskog ugovora kojim se menja i dopunjuje Ugovor o Evropskoj uniji i Ugovor o osnivanju Evropske zajednice.
4) Pojam "nacionalna nadzorna vlast" koji se koristi u Prilogu ovog pravilnika tumači se kao Direktorat civilnog vazduhoplovstva Republike Srbije.
Stupanje na snagu ovog pravilnika
Ovaj pravilnik stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".
Uredba Komisije (EZ) br. 482/2008 od 30. maja 2008. godine kojom se uspostavlja sistem bezbednosnih garancija za računarske programe koji moraju da uvedu pružaoci usluga u vazdušnom saobraćaju i kojom se menja i dopunjuje Aneks II Uredbe (EZ) br. 2096/2005
Član 1
1. Ovom uredbom utvrđuju se zahtevi za definisanje i primenu sistema bezbednosnih garancija za računarske programe (softvere) od strane pružalaca usluga u vazdušnom saobraćaju (ATS), pružalaca usluga upravljanja protokom vazdušnog saobraćaja (ATFM) i pružalaca usluga upravljanja vazdušnim prostorom (ASM) za potrebe opšteg vazdušnog saobraćaja, kao i pružalaca usluga komunikacije, navigacije i nadzora (CNS).
Ona priznaje i usvaja obavezujuće odredbe Evrokotrolovih bezbednosnih regulatornih zahteva - ESARR6 - čiji je naziv "Računarski programi u ATM sistemima", izdanje od 6. novembra 2003. godine.
2. Ova uredba se primenjuje na nove računarske programe i na svaku promenu računarskih programa u sistemima za ATS, ATFM, ASM i CNS.
Ova uredba se ne primenjuje na računarske programe na vazduhoplovima kao i na opremu koja se nalazi u svemiru.
Član 2
1. Za potrebe ove uredbe primenjuju se definicije pojmova sadržane u članu 2. Uredbe (EZ) 549/2004.
2. Pored toga primenjuju se i sledeće definicije:
1) bezbednosni zahtev (safety requirement) označava način za umanjenje rizika koji se određuje na osnovu strategije umanjenja rizika i kojim se ostvaruje određen bezbednosni cilj, uključujući organizacione, operativne, proceduralne i funkcionalne za performanse, kao i zahteve interoperabilnosti ili zahteve radnog okruženja sistema;
2) bezbednosni zahtev za sistem označava bezbedonosni zahtev koji je određen za funkcionalni sistem;
3) bezbednosni zahtev za računarski program označava opis rezultata obrade zadatih ulaznih podataka pod zadatim ograničenjima koji računarski program treba da pruži i, ako su ovi rezultati ostvareni, garantuje da Evropska mreža za upravljanje vazdušnim saobraćajem (EATMN) radi bezbedno i u saglasnosti sa operativnim potrebama;
4) bezbednosni cilj (safety objective) jeste kvalitativna ili kvantitativna izjava kojom se određuje maksimalna učestanost ili verovatnoća pojave opasnosti;
5) bezbednosne garancije (safety assurance) jesu sve planirane i sistematizovane aktivnosti neophodne za sticanje odgovarajućeg dokaza da proizvod, usluga, organizacija ili funkcionalni sistem ostvaruje prihvatljiv nivo bezbednosti ili nivo bezbednosti koji se može tolerisati;
6) valjanost zahteva (requirement validity) označava potvrdu do koje se dolazi ispitivanjem i pružanjem objektivnih dokaza da su određeni zahtevi za određenu namenu ispunjeni kako je nameravano;
7) vremenski učinci računarskog programa označavaju vremenski period koji je dodeljen računarskom programu da adekvatno reaguje na date ulazne podatke ili periodične pojave, i/ili performanse računarskog programa u izvršavanju razmene podataka ili poruka u jedinici vremena;
8) EATMN računarski program je računarski program koji se koristi u EATMN sistemima iz člana 1. ove uredbe;
9) životni ciklus računarskog programa označava:
(a) skup zahtevanih postupaka određenih od strane organizacije, koji su dovoljni i odgovarajući za razvoj i izradu programskog proizvoda;
(b) vremenski period koji počinje odlukom da se proizvede ili modifikuje računarski program, a završava se kada se program povlači iz upotrebe;
10) kapacitet računarskog programa je sposobnost programa da opsluži zadati protok podataka;
11) konfiguracioni parametri jesu parametri koji konfigurišu osnovni računarski program prema određenom obimu i funkcijama koje žele da se koriste;
12) nezavisne komponente računarskog programa označavaju one komponente računarskog programa na koje ne utiču razlozi koji su doveli do opasnosti;
13) novi računarski program jeste program koji je naručen ili za koji je obavezujući ugovor potpisan posle stupanja ove uredbe na snagu;
14) ostali računarski programi (non-developmental software) označavaju računarske programe koji nisu posebno razvijeni za konkretan ugovor, odnosno komercijalne, standardne ili prethodno korišćene programe;
15) opasnost (hazard) jeste stanje, događaj ili druga okolnost koja može dovesti do udesa;
16) organizacija označava pružaoca ATS usluga i pružaoca CNS usluga, kao i funkcije ATFM ili ASM;
17) otkaz računarskog programa označava nemogućnost računarskog programa da izvrši zahtevanu funkciju;
18) tolerancija na preopterećenje označava ponašanje sistema, a posebno njegovu toleranciju i otpornost, u slučaju dotoka ulaznih podataka većom brzinom od one koja se očekuje tokom uobičajenog rada sistema;
19) pogrešno funkcionisanje računarskog programa (software malfunction) označava nemogućnost programa da pravilno izvrši funkciju koja se zahteva;
20) podaci o životnom ciklusu računarskog programa (software life cycle data) označavaju podatke prikupljene tokom operativnog rada računarskog programa u cilju planiranja, usmeravanja, objašnjavanja, određivanja, beleženja ili pružanja dokaza o izvršenim aktivnostima; ovi podaci odražavaju procese životnog ciklusa programa, odobravanje rada sistema ili opreme, kao i kasnije izmene u odobrenim i prihvaćenim programskim proizvodima;
21) nezavisnost procene odnosi se na zahtev da proveru ispravnosti računarskog programa ne vrši osoblje proizvođača koje je razvilo element koji se verifikuje, nego lice koje nije bilo uključeno u razvoj i izradu računarskog programa koji se proverava;
22) pravilna i potpuna verifikacija EATMN programa označava da svi bezbedonosni zahtevi za računarske programe, koji pomoću postupka procene i umanjenja rizika određuju šta se od svake pojedinačne programske komponente zahteva, a njihova ispravna primena je demonstrirana do nivoa propisanog bezbedonosnim garancijama za računarske programe;
23) prebacivanje ili zamena u toku rada (cutover or hot swapping) označava postupak isključenja ili zamene komponente ili EATMN programa u toku operativnog rada sistema;
24) rizik je kombinacija sveobuhvatne verovatnoće ili učestanosti ponavljanja određene opasnosti i ozbiljnosti posledice koju ta opasnost može da izazove;
25) robusnost računarskog programa označava ponašanje računarskog programa u slučaju neočekivanih i neispravnih ulaznih podataka, otkaza opreme i električnog napajanja, bilo u okviru samog računarskog sistema ili uređaja priključenih na sistem;
26) računarski program (software) je program sa odgovarajućim konfiguracionim parametrima, uključujući i ostale aktivne EATMN programe; ne odnosi se na namenska integrisana kola za tu aplikaciju, programirana ulazno-izlazna kola ili kontrolere;
27) komponente računarskog programa označavaju programske module koji se mogu prilagoditi ili povezati sa ostalim programskim modulima u programsku aplikaciju prilagođenu potrebama korisnika;
28) tačnost se odnosi na zahtevanu tačnost rezultata obrade podataka;
29) iskorišćenost resursa računarskih programa (software resource usage) jesu resursi računarskog sistema dodeljeni aplikacionom programu;
30) funkcionalni sistem je kombinacija opreme, procedura i ljudskih resursa koji su organizovani u celinu radi obavljanja neke od ATM funkcija;
31) komercijalni program (COTS - commercial and off-the shelf) označava program koji proizvođači nude tržištu preko kataloga ili prodajne mreže i nije namenjen prilagođavanju potrebama korisnika.
Član 3
1. Kada se od organizacije zahteva da, shodno važećim nacionalnim propisima ili propisima Zajednice primeni postupak procene i umanjenja rizika, organizacija je dužna da uvede i primeni sistem bezbednosnih garancija na sve aspekte računarskih programa koje se koriste u EATMN, uključujući i izmene operativnih funkcija programa u toku operativnog rada, a naročito isključenja ili zamenu komponenti sistema.
2. Organizacija mora da osigura da primena njenog sistema bezbednosnih garancija za računarske programe pruži dokaze i argumente koji, kao minimalan zahtev, sadrže sledeće:
a) prema rezultatima postupka procene i umanjenja rizika bezbednosni zahtevi za računarske programe jasno da navedu šta se, u cilju ispunjenja bezbednosnih ciljeva i bezbednosnih zahteva, traži od programa;
b) da postoji jasna povezanost svih bezbednosnih zahteva sa iznesenim dokazima i argumentima;
c) postupak ugradnje i primene računarskih programa ne sme da sadrži nijedan proces koji će negativno uticati na bezbednost;
d) EATMN program zadovoljava bezbednosne zahteve s onim nivoom pouzdanosti koji odgovara njegovom uticaju na bezbednost;
e) garancije se daju kao potvrda da su zadovoljeni opšti bezbednosni zahtevi navedeni pod tačkama a) do d), a izneseni argumenti moraju da pokažu da su tražene garancije u svakom trenutku izvedene iz:
(i) poznate izvršne verzije računarskog programa,
(ii) poznatog opsega konfiguracionih parametara,
(iii) poznatog skupa programskih modula i njihovih opisa uključujući i specifikacije koje su korišćene u razvoju tog programa.
3. Zahtevane bezbednosne garancije organizacija će staviti na raspolaganje nacionalnoj nadzornoj vlasti i na taj način dokazati da su ispunjeni svi zahtevi navedeni u stavu 2. ovog člana.
Zahtevi koji se odnose na sistem bezbednosnih garancija za računarske programe
Član 4
Minimalni zahtevi koje organizacija mora da obezbedi u okviru svog sistema bezbednosnih garancija za računarske programe su:
1. sistem mora da bude dokumentovan, a naročito u delu sveopšte procene i umanjenja rizika;
2. svim EATMN programima moraju se dodeliti nivoi garancija u saglasnosti sa zahtevima iznetim u Aneksu I ove uredbe;
3. sistem obuhvata garancije koje se odnose na:
a) valjanost bezbednosnih zahteva za računarske programe koji treba da budu u saglasnosti sa zahtevima navedenim u Aneksu II, deo A ove uredbe,
b) postupak provere ispravnosti rada računarskog programa koji treba da bude u saglasnosti sa zahtevima navedenim u Aneksu II, deo B, ove uredbe,
c) postupak upravljanja konfiguracijom računarskog programa koji treba da bude u saglasnosti sa zahtevima navedenim u Aneksu II, deo C, ove uredbe,
d) povezanost bezbednosnih zahteva za računarske programe koji treba da budu u saglasnosti sa zahtevima navedenim u Aneksu II, deo D, ove uredbe;
4. sistem određuje kriterijume - nivoe strogosti, na osnovu kojih se zasnivaju date bezbednosne garancije, za svaki nivo garancija za računarske programe mora da se definiše odgovarajući nivo strogosti tako da, što je program kritičniji za funkcionisanje sistema, to se na njega primenjuje viši nivo strogosti;
u tu svrhu
a) definisani nivo strogosti za svaku bezbednosnu garanciju za računarske programe mora da sadrži sledeće kriterijume:
(i) zahteva se da (garancija) bude ostvarena nezavisno,
(ii) zahteva se da bude ostvarena,
(iii) ne zahteva se da bude ostvarena,
b) bezbednosna garancija, koja odgovara određenom nivou garancija za računarske programe, mora da pruži dovoljno uveravanja da se EATMN program može operativno koristiti sa prihvatljivim nivoom bezbednosti;
5. sistem koristi povratnu informaciju o ponašanju EATMN programa kao potvrdu da su sistem bezbednosnih garancija za računarske programe i dodeljeni nivoi garancija odgovarajući. U tu svrhu, podaci o posledicama delimičnog ili potpunog otkaza rada računarskog programa, koji se prikupljaju na osnovu regulatornih zahteva o izveštavanju i bezbednosnoj proceni događaja, će se uporediti sa podacima prepoznatim za odgovarajući sistem, a prema šemi kvalifikacije ozbiljnosti opasnosti uspostavljenoj u tački 3.2.4 odeljka 4. Aneksa II Sprovedbene uredbe Komisije (EZ) br. 1035/2011.
Zahtevi koji se primenjuju na izmene računarskih programa, kao i na posebne programe
1. Za sve izmene računarskih programa, za posebne računarske programe kao što je COTS, za nerazvojne računarske programe i za prethodno korišćene računarske programe na koje se ne mogu primeniti neki od zahteva navedeni u članu 3. stav 2. tačke (d) i (e) ili u članu 4. st. 2, 3, 4. i 5. ove uredbe, organizacija će omogućiti da njen sistem bezbednosnih garancija za računarske programe obezbedi, na neki drugi način koji je izabran i dogovoren sa nacionalnom nadzornom vlasti, isti nivo pouzdanosti kao i odgovarajući nivo garancija bilo kad je određen.
Dogovoren postupak mora da pruži odgovarajuću pouzdanost da računarski program ispunjava bezbednosne ciljeve i bezbednosne zahteve, kao što je prepoznato u procesu procene i umanjenja rizika.
2. Pri proceni načina i postupaka navedenih u stavu 1. ovog člana, nacionalna nadzorna vlast može da koristi priznatu organizaciju ili nominovano telo.
Izmena i dopuna Uredbe (EZ) br. 2096/2005
(Brisan)
Ova uredba stupa na snagu 20. dana od dana objavljivanja u "Službenom listu Evropske unije".
Uredba se primenjuje od 1. januara 2009. godine na nove programe sistema EATMN iz člana 1. stav 2. podstav 1. ove uredbe.
Primenjuje se od 1. jula 2010. na sve promene programa sistema EATMN iz člana 1. stav 2. podstav 1. ove uredbe, koji tada budu operativnoj upotrebi.
Zahtevi koji se odnose na nivo garancija za računarske programe iz člana 4. stav 2. ove uredbe
1. Nivo bezbednosnih garancija za računarske programe dovodi u vezu nivo strogosti bezbednosne garancije, preko šeme kvalifikacije ozbiljnosti opasnosti navedene u tački 3.2.4 odeljka 4. Aneksa II Sprovedbene uredbe Komisije (EZ) br. 1035/2011 i u kombinaciji sa verovatnoćom pojavljivanja određene nepovoljne posledice, sa kritičnošću EATMN programa. Potrebno je definisati najmanje četiri nivoa bezbednosnih garancija za računarske programe, pri čemu nivo 1. označava najkritičniji nivo.
2. Dodeljen nivo bezbednosnih garancija za računarske programe mora da odgovara najozbiljnijim posledicama otkaza ili pogrešnog funkcionisanja programa prema šemi kvalifikacije ozbiljnosti opasnosti navedenoj u tački 3.2.4 odeljak 4. Aneksa II Sprovedbene uredbe Komisije (EZ) br. 1035/2011. Pri tome treba uzeti u obzir rizike povezane sa otkazom ili pogrešnim funkcionisanjem programa kao i prepoznata odbrambena rešenja ugrađena u arhitekturu sistema i/ili procedure primenjene na sistemu.
3. Komponentama EATMN programa, koje se ne mogu nezavisno predstaviti, dodeljuje se nivo bezbednosnih garancija najkritičnije zavisne komponente.
Deo A: Zahtevi koji se odnose na valjanost bezbednosnih zahteva za računarske programe iz člana 4. stav 3. tačka (a) ove uredbe
1. Bezbednosnim zahtevima za računarske programe se definiše funkcionalno ponašanje EATMN programa u režimu normalnog i umanjenog rada i, po potrebi, njegove vremenske performanse, kapacitet, tačnost, upotreba programskih resursa na projektovanoj opremi, robusnost u neuobičajenim operativnim uslovima, kao i otpornost na preopterećenje.
2. Bezbednosni zahtevi za programe moraju da budu potpuni i pravilni i u saglasnosti sa bezbednosnim zahtevima za sistem.
Deo B: Zahtevi koji se odnose na garancije za proveru računarskog programa iz člana 4. stava 3. tačke (b) ove uredbe
1. Funkcionalno ponašanje EATMN programa, vremenske performanse, kapacitet, tačnost, upotreba programskih resursa na projektovanoj opremi, robusnost u neuobičajenim operativnim uslovima i otpornost na preopterećenje moraju da budu usaglašen sa zahtevima za programe.
2. EATMN program se na odgovarajući način proverava analizom i/ili testiranjem i/ili ekvivalentnim načinom, po dogovoru s nacionalnom nadzornom vlasti.
3. Verifikacija EATMN programa mora da bude pravilna i potpuna.
Deo C: Zahtevi koji se odnose na garancije za upravljanje konfiguracijom računarskog programa iz člana 4. stav 3. tačka (c) ove uredbe
1. Identifikacija izvršne konfiguracije računarskog programa, jasna povezanost garancija i bezbedonosnih zahteva kao i neprekidna evidencija statusa računarskog programa mora da bude takva da upravljanje računarskim programima omogućava neprekidni uvid u podatke o radu računarskog programa tokom celog životnog ciklusa EATMN programa.
2. Izveštavanje o problemima, praćenje otkaza i grešaka u radu i preduzete korektivne mere moraju da budu takvi da se može pokazati da su problemi povezani s bezbednošću rada računarskog programa umanjeni tokom vremena.
3. Postupci prikupljanja i prikazivanja podataka moraju da budu takvi da podaci o životnom ciklusu računarskog programa mogu da se regenerišu i prikažu tokom celog životnog ciklusa EATMN programa.
Deo D: Zahtevi koji se odnose na garancije za povezanost bezbednosnih zahteva za računarske programe iz člana 4. stav 3. tačke (d) ove uredbe
1. Svaki bezbednosni zahtev za računarski program mora da bude dokumentovano propraćen i povezan sa istim nivoom projektovanog rešenja koje ga dokazano ispunjava.
2. Svaki bezbednosni zahtev za računarski program, na svakom nivou projektovanog rešenja koje ga dokazano ispunjava, mora da bude povezan i propraćen do bezbednosnog zahteva za ceo sistem.